A NIS2 (Network and Information Security 2) irányelv vagyis hivatalos nevén az EU 2022/2555 irányelv az Európai Unió minden tagországára érvényes szabályozás, amivel az EU a térség általános kibervédelmi felkészültségét igyekszik növelni egy egységesen magas szintű kiberbiztonságot megteremtve.

A NIS2 lényegében nem teljesen új dolog, hanem a már korábban életbe lépő jogi keretek korszerűsítése és kibővítése,

elvégre ahogyan a kiberbűnözés formái is változnak és a hackerek egyre hatékonyabbá válnak, úgy kell az ellenük való módszereknek is fejlődniük, hogy a szervezetek legalább lépést tudjanak tartani a biztonság megteremtésének terén. Az irányelvet az országokon belül nemzeti szabályozási környezetbe kell átültetni, ehhez Magyarországon létrehozták a Kibertan törvényt (Kibertantv.), azaz a kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvényt. A NIS2 irányelv átültetése Magyarországon már megtörtént és a rendelkezéseit 2024. október 18-tól kell majd alkalmazni, az érintett szervezeteknek és cégeknek pedig 2025 december végéig kell az első kiberbiztonsági auditot lebonyolítaniuk. Az irányelv hatálya főként a közép-, és nagyvállalkozásokra terjed ki, de leginkább azokra vonatkozik, akik olyan szolgáltatást nyújtanak vagy infrastruktúrát működtetnek, aminek a leállása vagy károsodása egy kibertámadás miatt súlyos következményekkel járhat: például az energetikai, közlekedési, egészségügyi szolgáltatókra, a kutatóhelyekre vagy a gyártásban, élelmiszer-előállításban részt vevő vállalatokra.

A NIS2 értelmében a szervezeteknek több olyan lépést is meg kell tenniük, ami a jelenleginél jóval nagyobb felkészültséget ad az esetleges kibertámadások ellen - többek között kötelező a nyilvántartásba vétel a Szabályozott Tevékenységek Felügyeleti Hatóságánál, a vezetőségnek továbbképzésen kell részt vennie a kiberbiztonsági tudásuk bővítése érdekében, fel kell mérni a cégen belüli biztonsági rendszerek szintjét, és a súlyos eseményekről értesíteniük kell a hatóságokat vagyis jelentést kell készíteni a támadásokról. Az Európai Bizottság leírása szerint a tagállamok eddig általában óvakodtak attól, hogy büntetést szabjanak ki azokra, akik nem tartják be az előírásokat, nem vezetnek be kellően hatékony biztonsági rendszert és nem jelentik az incidenseket, de ennek immár vége, az új szabályozásnak része a bírság is, ami egész magas is lehet attól függően, hogy az adott szervezet a kiemelten kockázatos vagy csak kockázatos kategóriába sorolt területen működik-e. Bencsik Balázs, az SZTFH kiberbiztonsági tanúsítási igazgatójának elmondása szerint azonban a hatóság célja nem az, hogy büntetéseket rójon a cégekre, hanem az, hogy segítsen a bonyolult szabályozások labirintusában való eligazodásban.

“Az információbiztonság nem misztikum”

- mondta el Bencsik a HTE március 19-én megtartott kiberszabályozási minikonferenciáján, amelyen a téma szakértői a NIS2 és általában a kibervédelem rejtélyeibe avatták be a hallgatóságot. A szabályozás valójában nem is annyira új Bencsik szerint, tulajdonképpen ugyanazokat a dolgokat tartalmazza, amiket már régen leírtak különböző standardokban korábban is, az újdonságot inkább a széles hatókör képviseli, mivel nagyon sok céget érint. Bár az EU-s előírásokból nem mindent vettek át pontról pontra a magyar verzió megalkotása során, de a lényeg megjelenik a hazai törvényben: a kockázatalapú megközelítés, a rendszerek felmérése, biztonsági osztályba sorolása, az üzletfolytonossághoz, katasztrófaelhárításhoz kapcsolódó főszabályok viszont benne vannak. “A jó szabályozás az, amit be lehet tartani” - ennek érdekében a végrehajtandó lépések rendszerével kapcsolatos tájékozódásban is segítséget nyújt a hatóság.

A konferencián a kiberbiztonsági fenyegetettség mértékét jól ábrázoló statisztikákat és adatokat mutatott be Hlavaty Győző, a Magyar Telekom CTRL-SOC vezetője, Bor Olivér, az SZFTH kiberbiztonsági szakértője, Hári Krisztián, a Yettel üzleti biztonsági igazgatóságának vezetője és Rónaszéki Péter, a FORTIX ügyvezetője. A Bor által idézett adatok szerint 2022-ben az uniós vállalkozások 92%-a alkalmazott legalább egy olyan biztonsági intézkedést, amivel a rendszereiket támadás esetén meg tudnák védeni, de Magyarország elmarad az EU-s átlagtól és csak 75% ez az érték. Az említett intézkedésekbe azonban beletartoznak többek között egészen alapvető, minimális lépések is, mint a megfelelő jelszóhitelesítés és az adamentés. Ennél ma már komplexebb megoldásokra van szükség - mondta el a szakértő. Hári Krisztián a Világgazdasági Fórum éves felmérésének, a 2024-es Globális Kockázati jelentésnek az eredményeit hozta fel példaként a kiberfenyegetettség jelentőségének illusztrálására: a jelentés ugyan nem kifejezetten a kiberbiztonság témakörével foglalkozik, hanem azt vizsgálja, hogy a válaszadók szerint mik a legnagyobb problémák a világban, amivel az emberiségnek most és néhány év múlva szembe kell néznie, de a felmérésekben rendszeresen előkelő helyen szerepel a kiberbiztonság, pontosabban kiberbizonytalanság jelensége is. Idén az egy-két éven belüli legnagyobb fenyegetések között a negyedik helyre, a tíz éven belüli kockázatok között nyolcadik helyre sorolták ezt a témakört.

Az Európai Unión belül az ENISA (European Union Agency for Cybersecurity) adatai szerint a leggyakoribb kiberbiztonsági problémát a ransomware fenyegetések jelentik, ezután következnek a DDoS támadások és adatlopások. A cégek esetében sokféle hibát követhetnek el a munkatársak, ami aztán kihat az egész szervezet működésére, elég, ha a hackerek találnak egy gyenge láncszemet és máris hozzáférhetnek a teljes rendszerhez, jelentős károkat okozva. Ezért játszik nagy szerepet a szabályozás, ami, amennyiben betartják, megelőzhetővé teszi a “kiberkatasztrófáknak” legalább egy részét. “Az EU-nak nem az a célja, hogy mindenkivel kiszúrjon” - magyarázta az irányelv bevezetésének okát Hári, hanem az, hogy az egyre inkább a digitalizáció irányába tolt Európának védőövet nyújtson.

“A digitalizációnak része, mint az autónak a biztonsági öv vagy a zár, a kiberbiztonság.”

Az egységes szintű védelemmel tudja majd az unió a nagyobb versenytársakkal, az Egyesült Államokkal vagy Kínával felvenni a versenyt Hári szerint.

Hlavaty Győző a legtöbbször előforduló támadásokról adott számot - a szakértő által bemutatott statisztikák alapján a zsarolóvírusok jelentik a fő fenyegetést, amelyeknek a mostani, negyedik generációs változatai már olyan komplex módon vannak felépítve, hogy alapjaiban tudják tönkretenni egy vállalat üzemelését. A zsarolóvírusokat méghozzá manapság már szolgáltatásként (Ransomware as a Service) árulják a világhálón, ezért különösen könnyen hozzájuthat bárki, aki ezt az eszközt akarja felhasználni például az üzleti konkurense ellen. De hogy is néz ki egy tipikus ransomware támadás? Rendszerint péntek este történnek a támadások, majd amikor másnap észreveszik az eseményt az érintett cég munkatársai, már minden le van titkosítva, a biztonsági mentések nem elérhetőek, az ezutáni fázisokban következik a DDoS támadás és esetleg az ellopott adatok publikálása. A vírus gyakran e-mailben küldött pdf fájlokon és linkeken keresztül terjed és a kódjai nagy részben automatizáltak.

Miután a vírus elterjed a rendszerben, megtámadja a mentéseket, belenyúl az AD-be (active directory) és olyan elemeket hagy maga után, ami a támadás elhárítása esetén is egyszerűvé teszik a vírus helyreállítását, végül jön az adatszivárogtatás. Bár az igazán profi vírusokat nehéz kivédeni, de a sérülékenység minimalizásával sok probléma elkerülhető lenne Hlavaty véleménye szerint és ennek érdekében gyakran csak hétköznapi elővigyázatosságra van szükség, például a malware ellen védő eszközök megfelelő beállításával, az MFA (többtényezős hitelesítés) alkalmazásával vagy a ransomware-proof mentések megvalósításával. Ezek a tipikus hiányosságok, amelyek a sikeres támadások mögött meghúzódnak és ezeket a hiányosságokat igyekszik felszámolni a NIS2 szabályozás is.

Az irányelv tehát szerves része az Európai Bizottság digitális jövőképének, ami egyre nagyobb szerepet kap az olyan technológiák előretörésével, mint a mesterséges intelligencia vagy a közelgő 6G. Ezen technológiákkal kapcsolatos munkák eredményei, valamint a szabványosítás, az online platformok és biztonságos összekapcsoltság kérdésköre is központi téma volt az EU-USA Kereskedelmi és Technológiai Tanácsának hatodik miniszteri ülésén, amelyet április 4-én tartottak meg Belgiumban és amelyen megjelent Margrethe Vestager, az Európai Bizottság ügyvezető alelnöke és Antony Blinken amerikai külügyminiszter is. A találkozón zajló megbeszélések is rávilágítottak a digitalizáció fontosságára és egyúttal az ezzel együtt járó veszélyekre is, az adatok védelmének jelentőségére és a digitális infrastruktúrák biztonságának megőrzésére tett erőfeszítések nélkülözhetetlen szerepére. Vestager az ülésen kijelentette: továbbra is azon dolgoznak, hogy olyan digitális környezetet teremtsenek az EU-ban, ami tükrözi az eddigi értékeket.

(Fotó: Luther M.E. Bottrill/Unsplash)

Mitől lesz erős egy jelszó vagy egy PIN kód, miért veszélyes a „free wifi”, mi is az a kiberhigiénia? Tényleg ellopják-e az adatainkat, ha nyílt wifit használunk? Mitől lesz erős egy jelszó? Többek között ilyen IT-biztonsági kérdésekről szól a RE:FACT Podcast legújabb epizódja, amelynek vendége Pfeiffer Szilárd, IT-biztonsági mérnök.